Delegado de Protección de Datos

El Día Internacional de la Protección de Datos. El DPD

El 28 de enero es el Día Internacional de la Protección de Datos. Se conmemora que, hoy hace 37 años, se firmó el primer tratado internacional en materia de protección de datos de carácter personal: el Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981.

Actualmente, el Reglamento Europeo sobre Protección de Datos (RGPD) es de obligado cumplimiento desde el 25 de mayo de 2018 para todos los negocios, empresas y autónomos, con sede dentro de la Unión Europea.

Se nos ha ocurrido que la mejor manera de celebrar este día es aportar nuestro granito de arena para conocer una de las novedades más importantes que ha traído el RGPD: la figura del Delegado de Protección de Datos (DPD o DPO en inglés).

 

¿Cuáles son las funciones del Delegado de Protección de Datos?

El artículo 39 del RGPD especifica las funciones del Delegado de Protección de Datos (DPD):

– Informar y asesorar al responsable o al encargado del tratamiento y a sus empleados que se ocupen del tratamiento de datos, sobre cómo realizar ese tratamiento para cumplir con el RPGD y demás normativa aplicable.

– Supervisar el cumplimiento del RGPD y del resto de normativa aplicable. Lo hará mediante el seguimiento de las políticas del responsable o encargado del tratamiento. Incluidas la asignación de responsabilidades, la concienciación y formación del personal que participa en el tratamiento de datos y las revisiones correspondientes.

– Asesorar en todo lo relacionado con la Evaluación de impacto relativa a la protección de datos (EIPD o PIA, en inglés). ¿Cuándo se debe realizar? ¿En qué condiciones? La EIPD puede hacerla otro profesional, pero el DPD tiene que supervisar su aplicación.

– Será el punto de contacto entre la empresa y la autoridad de control (la AEPD en España). Realizará las consultas necesarias y cooperará con la autoridad.

La nueva Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) potencia la importancia del DPD para resolver conflictos o reclamaciones que se le presenten a empresa. Le otorga una función de mediador para intentar evitar una sanción por parte de la AEPD. Así, pueden darse dos casos:

1. Si la empresa no ha tratado sus datos adecuadamente, el afectado puede dirigirse al DPD de esa empresa antes de enviar la reclamación a la AEPD. Y el DPD ha de comunicar directamente al afectado la decisión adoptada.

2. Si la reclamación se presenta en la AEPD directamente, la Agencia se dirigirá al DPD remitiéndole la reclamación del afectado para que responda.

Esto acentúa la importancia de designar un buen DPD para tu empresa.

 

Cómo debe actuar el Delegado de protección de datos

El RGPD indica que los responsables o encargados del tratamiento están obligados a garantizar que el DPD “no reciba ninguna instrucción en lo que respecta al desempeño de estas funciones”. Y, ya sea un empleado del responsable del tratamiento o un profesional externo contratado, el DPD debe estar en condiciones de desempeñar esta función de manera independiente.

Además, responsable y encargado del tratamiento han de garantizar que:

– el DPD participe en todas las cuestiones relativas a la protección de datos personales. Y es fundamental que lo haga desde el inicio, para poder garantizar que la empresa cumple con la normativa en todo momento.

– se tenga al DPD como un interlocutor dentro de la empresa. Que sea parte de los equipos de trabajo que tengan como responsabilidad llevar a cabo las actividades de tratamiento de los datos.

Para ello, se debe:

– Invitar al DPD a las reuniones de los directivos.

– Hacer que el DPD esté presente cuando se toman decisiones relacionadas con la protección de datos, recordando que se debe tener en cuenta su opinión desde un inicio.

– Tener siempre en cuenta su opinión en situaciones como una brecha de seguridad de los datos o cualquier otro incidente que afecte a la protección de datos.

 

Qué negocios tienen obligación de designar un Delegado de Protección de Datos

La nueva Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) incluye el listado de entidades que están obligadas a tener un DPD:

a) Los colegios profesionales y sus consejos generales.

b) Los centros docentes, las Universidades públicas y privadas.

c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.

d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.

e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

f) Los establecimientos financieros de crédito.

g) Las entidades aseguradoras y reaseguradoras.

h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.

i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.

j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.

k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles.

l) Los centros sanitarios. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.

o) Las empresas de seguridad privada.

p) Las federaciones deportivas cuando traten datos de menores de edad.

 

Las startups y el Delegado de Protección de Datos

Las startups no dejan de ser empresas, por lo que igualmente deben cumplir con la legislación vigente sobre protección de datos.

Debido a sus modelos de negocio, muchas startups elaboran perfiles de usuarios para poder ofrecer un servicio novedoso o diferenciado. Y eso las incluye entre las empresas que están obligadas a designar un Delegado de Protección de Datos.

 

¿No tienes claro si tu startup o empresa tiene obligación de designar un Delegado de Protección de Datos?

¿Quieres que seamos tu DPD? Contacta con nosotros.

Tags:
,


Compartir